Veiledning i administrativ kryptosikkerhet - NSM

More documents

Recommendations

Info

NSM 2007-04-19 UGRADERT Lokaliteter hvor det utføres administrasjon av kryptonøkler og drift av kryptoutstyr skal være fysisk sikret for den høyeste sikkerhetsgrad kryptonøklene har og minst som for KONFIDENSIELT. Virksomhet som ikke er forvaltningsorgan og skal produsere kryptoutstyr hvor kryptoalgoritmer til NATO eller NSK inngår, skal på forhånd være leverandørklarert for HEMMELIG eller høyere. Hva et forvaltningsorgan i medhold av Sikkerhetsloven er, går frem av Sikkerhetslovens § 2. Følgende virksomheter kan tilby kryptoutstyr godkjent av NSM: - NSM - ERGO Group - Kongsberg Defence Aerospace (KDA) - Thales Communications Norway 3.6 Til § 7-6 Plikt til å etablere kryptosikkerhetsorganisasjon Virksomhet som besitter kryptomateriell skal etablere en kryptosikkerhetsorganisasjon med kryptosikkerhetsleder og kryptoforvalter med stedfortredere, og etablere ordning for henting og levering av kryptomateriell med kurerpost. Det skal etableres en hensiktsmessig kurertjeneste. Innenlands må det opprettes et samarbeid mot Forsvarets kurertjeneste (FOKS) tlf 23 09 89 70/89 81 og for utlandet med Utenriksdepartementet (UD) tlf 22 24 30 58 eller mot FOKS (NATO). Virksomheten må selv ta initiativ for å etablere hensiktsmessige distribusjonskanaler. Kryptosikkerhetspersonellet skal være faglig kvalifisert, herunder kryptokvalifisert, ha nødvendig myndighet i virksomheten og kunne ivareta funksjonen i minst ett år. Personellet skal ikke pålegges andre oppgaver i den utstrekning det fratar dem muligheten til å ivareta funksjonen i samsvar med gjeldende sikkerhetsbestemmelser. Bare personell som har vært fast ansatt i virksomheten i minst ett år kan utpekes til kryptosikkerhetsleder eller kryptoforvalter, med mindre NSM i det enkelte tilfelle samtykker i annet. Med faglig kvalifisert menes også nødvendige ferdigheter i betjening av virksomhetens kryptoutstyr. Virksomheten er selv ansvarlig for å gi den enkelte opplæring i bruk av kryptoutstyret. Forsvarets skoler arrangerer kurs på de fleste utstyrstyper, ref vedlegg. 3.7 Til § 7-7 Virksomhetens leder Virksomhetens leder er ansvarlig for at sikkerhetsbestemmelsene for kryptotjenesten blir fulgt i egen virksomhet, herunder: 1. Skriftlig utpeke kryptosikkerhetsleder og kryptoforvalter med stedfortredere. 2. Minimum en gang i året kontrollere utførelsen av kryptosikkerhetstjenesten. 3. Iverksette nødvendige tiltak for å redusere skadevirkning og rapportere til overordnet virksomhet ved sikkerhetsbrudd, kompromittering, uautorisert endring eller utilgjengelighet av kryptoutstyr eller sikkerhetsgradert informasjon. Side 8 av 28 UGRADERT
NSM 2007-04-19 UGRADERT 4. Snarest rapportere til NSM og klareringsmyndighet i tilfeller av fjerning eller uautorisert fravær av kryptoforvalter eller stedfortreder, og om nødvendig utpeke ny kryptoforvalter eller stedfortreder. Skjema i vedlegg brukes ved utnevningen av kryptosikkerhetsleder og kryptoforvalter med stedfortredere. Et eksemplar av skjemaet skal til eget arkiv og et til overordnet distribusjonsmyndighet. Overordnet distribusjonsmyndighet vil for Utenrikstjenesten være UD, for sivil statsforvaltning NSM og for Forsvaret nærmeste overordnede distribusjonsledd. Alle eksemplarer skal være original, dvs ha originale signaturer. NSM skal ha et eksemplar av utnevnelsen fra alle overordnede kryptodistribusjonsledd. På grunn av kryptomateriellets sårbarhet, og strenge kontrollkrav må kryptoforvalter og stedfortreder være pålitelige og utvise stor grad av nøyaktighet. Det er derfor nødvendig at virksomhetens leder er nøye med å velge ut kvalifisert personell som: 1. Er i en stilling som gir vedkommende den nødvendige autoritet i virksomheten (viktig for å kunne gi dette arbeidet tilstrekkelig prioritet). 2. Er motivert for å ta på seg dette ansvarsfulle og tidkrevende arbeidet. Dette er ofte et biarbeid som krever mye. Interesse for forebyggende sikkerhet og sambandstjeneste er derfor viktig å ta hensyn til ved utvelgelse av personellet. 3. Ikke tidligere har blitt avløst som kryptoforvalter på grunn av skjødesløshet eller manglende utførelse av sine plikter. Administrativ kryptosikkerhet er preget av rutiner, men med varierende arbeidsbelastning. Det er derfor avgjørende at kryptosikkerhetspersonellet, til enhver tid, får mulighet til å ivareta sitt ansvar og sine funksjoner i samsvar med gjeldende sikkerhetsbestemmelser. Er ikke dette mulig/vanskelig å gjennomføre, plikter virksomhetens leder å rapportere til overordnet virksomhet og NSM. Personell utpekt i funksjonene skal være sikkerhetsklarert, kryptokvalifisert og autorisert jf §§ 7-14 – 7- 15 for det kryptomateriell de er satt til å forvalte. 3.8 Til § 7-8 Kryptosikkerhetsleder Kryptosikkerhetsleder skal føre daglig tilsyn med at sikkerhetsbestemmelsene for kryptotjenesten blir fulgt, herunder: 1. Sørge for opplæring av personell som arbeider med kryptomateriell slik at de er kjent med instruksene til kryptoutstyr som er i bruk. 2. Gjøre virksomhetens leder oppmerksom på sikkerhetsgradert informasjon som er sendt eller mottatt i et kryptosystem som av kontrollerende myndighet er erklært kompromittert, uautorisert endret eller utilgjengelig. 3. Øyeblikkelig rapportere til virksomhetens leder enhver kjent eller mulig kompromittering, tap, uautorisert tilintetgjøring eller utilfredsstillende oppbevaring av kryptomateriell. Side 9 av 28 UGRADERT
Page 1 and 2: UGRADERT Nasjonal sikkerhetsmyndigh
Page 3 and 4: NSM 2007-04-19 UGRADERT Innhold 1 I
Page 5 and 6: NSM 2007-04-19 UGRADERT 2 Generelt
Page 7: NSM 2007-04-19 UGRADERT oppbevares
Page 11 and 12: NSM 2007-04-19 UGRADERT 3. Utføre
Page 13 and 14: NSM 2007-04-19 UGRADERT 3.11 Til §
Page 15 and 16: NSM 2007-04-19 UGRADERT eller tilsv
Page 17 and 18: NSM 2007-04-19 UGRADERT Skjema for
Page 19 and 20: NSM 2007-04-19 UGRADERT 3. RK 3: Ma
Page 25 and 26: NSM 2007-04-19 UGRADERT og skal bar
Page 27 and 28: NSM 2007-04-19 UGRADERT 6. mangfold

Veiledning i administrativ kryptosikkerhet - NSM

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?